Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая фишинговая кампания с DeepSeek и опасным вредоносным ПО

3 мин
Недавний отчет кибербезопасности выявил новую масштабную вредоносную кампанию, направленную на пользователей языковой модели DeepSeek-R1. Злоумышленники используют фишинговую рекламу в Google, чтобы распространять вредоносное ПО под видом официального установщика DeepSeek, что ставит под угрозу безопасность миллионов пользователей по всему миру. Хакеры создают поддельный сайт, замаскированный под официальный ресурс DeepSeek (https://deepseek-platform.com). При посещении сайта пользователи автоматически проходят проверку операционной системы, а владельцы Windows сталкиваются с обманной кнопкой «Попробуйте сейчас». После её нажатия запускается ввод капчи, призванный подтвердить, что пользователь не является ботом. В этом процессе используется сложный JavaScript, усложняющий выявление и блокировку автоматических скриптов. После успешного прохождения проверки жертвы перенаправляются на загрузку вредоносного файла AI_Launcher_1.21.exe с другого опасного домена. Этот исполняемый файл выступа
Оглавление
Источник: securelist.com
Источник: securelist.com

Недавний отчет кибербезопасности выявил новую масштабную вредоносную кампанию, направленную на пользователей языковой модели DeepSeek-R1. Злоумышленники используют фишинговую рекламу в Google, чтобы распространять вредоносное ПО под видом официального установщика DeepSeek, что ставит под угрозу безопасность миллионов пользователей по всему миру.

Метод атаки: фишинговый сайт и фейковый установщик

Хакеры создают поддельный сайт, замаскированный под официальный ресурс DeepSeek (https://deepseek-platform.com). При посещении сайта пользователи автоматически проходят проверку операционной системы, а владельцы Windows сталкиваются с обманной кнопкой «Попробуйте сейчас». После её нажатия запускается ввод капчи, призванный подтвердить, что пользователь не является ботом. В этом процессе используется сложный JavaScript, усложняющий выявление и блокировку автоматических скриптов.

После успешного прохождения проверки жертвы перенаправляются на загрузку вредоносного файла AI_Launcher_1.21.exe с другого опасного домена. Этот исполняемый файл выступает в роли загрузчика и активирует следующий этап атаки.

Стадия вторжения и обход защиты Windows

Выполнив AI_Launcher_1.21.exe, вредоносная программа запускает поддельное окно ввода капчи, пытаясь усилить иллюзию легитимности. Затем происходит попытка отключить защиту Windows Defender, в частности защиту папки пользователя, с помощью PowerShell-команд, требующих привилегии администратора. Такие действия позволяют злоумышленникам без препятствий загружать и запускать дополнительное ПО в системе.

Следующий скачанный модуль — вредоносный исполняемый файл, загружаемый из динамически сгенерированного домена — сохраняется в профиле пользователя. Эксперты выявили эту нагрузку как BrowserVenom, представляющий серьезную угрозу.

Что такое BrowserVenom и какую угрозу он несет?

BrowserVenom модифицирует настройки зараженного веб-браузера, чтобы маршрутизировать весь интернет-трафик через прокси-сервер, контролируемый злоумышленниками. Для этого вредонос устанавливает жестко заданный SSL-сертификат и изменяет прокси-настройки как в Chromium-браузерах, так и в браузерах на базе Gecko.

  • Перехват и мониторинг интернет-трафика
  • Расшифровка защищенного TLS/SSL-трафика
  • Манипуляции с веб-контентом и данными пользователей

Данная функциональность значительно повышает риск утечки персональной информации, конфиденциальных данных и учетных записей пользователей.

Масштаб и география атак

Геопространственный анализ показывает, что вредоносная кампания охватывает широкий международный спектр:

  • Бразилия
  • Куба
  • Мексика
  • Индия
  • Непал
  • Южная Африка
  • Египет

Такое распределение отражает глобальную природу угроз и требует международного сотрудничества в борьбе с подобными атаками.

Рекомендации по защите

Эксперты по кибербезопасности настоятельно рекомендуют пользователям быть предельно внимательными при скачивании программного обеспечения, особенно если требуется загрузка из поисковой выдачи или рекламы. Важно убедиться, что источник загрузки является официальным и проверенным.

Продукты безопасности, например, Kaspersky, уже классифицировали обнаруженные вредоносные объекты как Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv, что подчеркивает их опасность.

Ключевые советы для пользователей:

  • Проверять URL-адрес сайтов перед загрузкой ПО;
  • Избегать перехода по рекламе из непроверенных источников;
  • Не игнорировать предупреждения систем безопасности и антивирусов;
  • Регулярно обновлять антивирусные базы и программное обеспечение;
  • При возникновении подозрений – обращаться к специалистам по кибербезопасности.

_В условиях постоянно развивающихся киберугроз только комплексный подход и бдительность позволят защитить личные данные и сохранить безопасность цифровой среды._

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая фишинговая кампания с DeepSeek и опасным вредоносным ПО".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.